Rapport NIST Special Publication 800-53 Revision 5

Ce rapport affiche les problèmes du National Institute of Standards and Technology (NIST) trouvés sur votre application. Beaucoup de vulnérabilités des applications web peuvent conduire à des violations de sécurité directes ou indirectes concernant les informations personnelles, susceptibles d'être considérées comme des infractions à ces réglementations.

Pourquoi est-ce important ?

Le NIST élabore et émet des normes, directives et autres publications destinées à aider les agences fédérales dans l'implémentation de la loi FISMA (Federal Information Security Management Act) de 2002, y compris les exigences minimales pour assurer une sécurité informatique adéquate pour toutes les opérations et tous les actifs de l'agence, mais ces normes et directives ne s'appliquent pas aux systèmes de la sécurité nationale. Des normes FIPS (Federal Information Processing Standards) sont développées par le NIST conformément à la réglementation FISMA. Dans la mesure où FISMA exige que les agences fédérales se conforment à ces normes, celles-ci doivent s'y plier. Les documents de conseils et recommandations sont émis dans la série 800 de la Special Publication (SP) du NIST. Les stratégies de l'Office of Management and Budget (OMB) imposent que, pour les systèmes et programmes de sécurité autres que ceux relevant de la sécurité nationale, les agences se conforment impérativement aux conseils de NIST.

La norme FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, est une norme obligatoire et sans dérogation possible développée en réponse à FISMA. Pour être conformes à la norme fédérale, les agences doivent d'abord déterminer la catégorie de sécurité de leur système d'information conformément aux dispositions FIPS 199, normes de catégorisation de sécurité pour les systèmes d'information fédéraux, puis appliquer l'ensemble adéquat de contrôles de sécurité de base définis dans NIST SP 800-53. L'évaluation des risques de l'agence valide l'ensemble de contrôles de sécurité en déterminant si des contrôles supplémentaires sont requis pour protéger les opérations, les ressources ou le personnel de l'agence. L'ensemble résultant de contrôles de sécurité définit le niveau de "diligence raisonnable de sécurité" pour les agences fédérales et leurs sous-traitants.

Les agences doivent se conformer aux normes et directives de sécurité du NIST dans l'année suivant la date de publication, sauf indication contraire de l'OMB ou du NIST. (Le délai d'un an pour la mise en conformité avec les révisions des NIST SP s'applique uniquement aux nouvelles parties et/ou sections mises à jour).
Tableau 1. Problèmes détectés dans 14/20 sections du règlement :
Numéro de contrôleContrôle
AC-2(2)[Sélection : Supprimer ; Désactiver] automatiquement les comptes temporaires et d'urgence au bout de [Affectation : période définie par l'organisation pour chaque type de compte].
AC-4 Appliquer les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes connectés en fonction de [Affectation : politiques de contrôle du flux d'informations définies par l'organisation].
AC-6Utiliser le principe du moindre privilège, en n'autorisant que les accès autorisés pour les utilisateurs (ou les processus agissant au nom des utilisateurs) qui sont nécessaires pour accomplir les tâches organisationnelles assignées.
AC-7 a.Appliquer une limite de [Affectation : nombre défini par l'organisation] tentatives de connexion invalides consécutives par un utilisateur pendant une [Affectation : période définie par l'organisation]
AC-10Limiter le nombre de sessions simultanées pour chaque [Affectation : compte et/ou type de compte défini par l'organisation] à [Affectation : nombre défini par l'organisation] .
AC-12Mettre automatiquement fin à une session utilisateur après [Affectation : conditions ou événements déclencheurs nécessitant une déconnexion de session définis par l'organisation]
AC-17a. Établir et documenter les restrictions d'utilisation, les exigences de configuration/connexion et les conseils de mise en œuvre pour chaque type d'accès à distance autorisé ; et

b. Autoriser chaque type d'accès à distance au système avant d'autoriser de telles connexions.

CM-7a. Configurer le système pour fournir uniquement [Affectation : capacités essentielles de mission définies par l'organisation] ; et

b. Interdire ou restreindre l'utilisation des fonctions, ports, protocoles, logiciels et/ou services suivants : [Affectation : fonctions, ports système, protocoles, logiciels et/ou services interdits ou restreints définis par l'organisation].

IA-2 Identifier et authentifier de manière unique les utilisateurs organisationnels et associer cette identification unique aux processus agissant au nom de ces utilisateurs.
IA-4(1)Interdire l'utilisation d'identifiants de compte système identiques aux identifiants publics des comptes individuels.
IA-5Gérer les authentificateurs système en :

a. Vérifiant, dans le cadre de la distribution initiale de l'authentificateur, l'identité de l'individu, du groupe, du rôle, du service ou de l'appareil recevant l'authentificateur ;

b. Établissant le contenu initial de l'authentificateur pour tous les authentificateurs émis par l'organisation ;

c. Veillant à ce que les authentificateurs aient une force de mécanisme suffisante pour leur utilisation prévue ;

d. Établissant et mettant en œuvre des procédures administratives pour la distribution initiale des authentificateurs, pour les authentificateurs perdus, compromis ou endommagés, et pour la révocation des authentifiants ;

e. Modifiant des authentificateurs par défaut avant la première utilisation ;

f. Modifiant ou actualisant des authentificateurs [Affectation : période définie par l'organisation par type d'authentificateur] ou lorsque [Affectation : événements définis par l'organisation] se produisent ;

g. Protégeant le contenu de l'authentificateur contre la divulgation et la modification non autorisées ;

h. Exigeant des individus qu'ils prennent, et que les appareils implémentent, des contrôles spécifiques pour protéger les authentificateurs ; et

i. Modifiant des authentificateurs pour les comptes de groupe ou de rôle lorsque l'appartenance à ces comptes change.

RA-5a. Surveiller et rechercher les vulnérabilités dans le système et les applications hébergées [Affectation : fréquence définie par l'organisation et/ou de manière aléatoire conformément au processus défini par l'organisation] et lorsque de nouvelles vulnérabilités affectant potentiellement le système sont identifiées et signalées ;

b. Utiliser des outils et des techniques de surveillance des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatisent certaines parties du processus de gestion des vulnérabilités en utilisant des normes pour :

  1. Énumérer les plateformes, les défauts logiciels et les configurations incorrectes ;
  2. Mettre en forme des listes de contrôle et des procédures de test ; et
  3. Mesurer l'impact de la vulnérabilité ;

c. Analyser les rapports d'analyse des vulnérabilités et les résultats de la surveillance des vulnérabilités ;

d. Remédier aux vulnérabilités légitimes [Affectation : temps de réponse définis par l'organisation] conformément à une évaluation organisationnelle des risques ;

e. Partager les informations obtenues à partir du processus de surveillance des vulnérabilités et des évaluations de contrôle avec [Affectation : personnel ou rôles définis par l'organisation] pour aider à éliminer les vulnérabilités similaires dans d'autres systèmes ; et

f. Utiliser des outils de surveillance des vulnérabilités qui incluent la capacité de mettre à jour facilement les vulnérabilités à analyser.

SC-5 a. [Sélection : Protéger contre ; Limiter] les effets des types d'événements de déni de service suivants : [Affectation : types d'événements de déni de service définis par l'organisation] ; et

b. Utiliser les contrôles suivants pour atteindre l'objectif de déni de service : [Affectation : contrôles définis par l'organisation par type d'événement de déni de service].

SC-8Protéger la [Sélection (une ou plusieurs) : confidentialité ; intégrité] des informations transmises.
SC-13 a. Déterminer les [Affectation : utilisations cryptographiques définies par l'organisation] ; et

b. Mettre en œuvre les types de cryptographie suivants requis pour chaque utilisation cryptographique spécifiée : [Affectation : types de cryptographie définis par l'organisation pour chaque utilisation cryptographique spécifiée].

SC-23Protéger l'authenticité des sessions de communication.
SI-3.A Mettre en œuvre des mécanismes de protection contre les codes malveillants [Sélection (une ou plusieurs) : basés sur la signature ; non basés sur la signature] aux points d'entrée et de sortie du système pour détecter et éradiquer les codes malveillants.
SI-3.BMettre automatiquement à jour les mécanismes de protection contre les codes malveillants à mesure que de nouvelles versions sont disponibles, conformément à la politique et aux procédures de gestion de la configuration organisationnelle.
SI-10Vérifier la validité des entrées d'informations suivantes : [Affectation : entrées d'informations définies par l'organisation dans le système].
SI-11.AGénérer des messages d'erreur qui fournissent les informations nécessaires aux actions correctives sans révéler d'informations susceptibles d'être exploitées.